1-2021
Zeitschrift für Elektro-, Gebäude- und Sicherheitstechnik, Smart Home
Zeitschrift für Elektro-, Gebäude- und Sicherheitstechnik, Smart Home
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Gebäudeautomation<br />
Hacken per Klimaanlage, Aufzug im freien Fall?<br />
Cybersicherheit in der Gebäudeautomation<br />
Cybersicherheit für industrielle Steuerungsnetze ist eine Herausforderung für sich.<br />
trotz Fernwartungszugang für die Klimatechnik.<br />
Die Digitalisierung deckt unterschiedliche<br />
und komplexe Anwendungsbereiche<br />
ab. Typische Anwendungen<br />
sind unter anderem HLK – die Heizung,<br />
Lüftung und Klimatechnik, Energie-Managementsysteme,<br />
Lichtsteuerung,<br />
Videoüberwachung, Zugangskontrollsysteme<br />
und die Aufzugssteuerung.<br />
Dazu kommen noch die angeschlossenen<br />
Sensoren und Geräte<br />
(Kameras, Thermostate, Lichtsensoren).<br />
Jedes dieser Systeme verspricht<br />
nicht unerhebliche Einsparungen<br />
bei den Betriebs- und Energiekosten.<br />
Allerdings vergrößern sie<br />
die Angriffsfläche für Cyberbedrohungen<br />
und erschweren das Sicherheits-Management<br />
als solches. Jedes<br />
System und jedes einzelne Gerät, einschließlich<br />
der verschiedenen Versionen<br />
und Überarbeitungen, weist<br />
ein bestimmtes Maß an potenziellen<br />
Cyberrisiken auf.<br />
Autor:<br />
Maximillian Gilg<br />
Industrial Control Systems<br />
Security Engineer, Tripwire<br />
www.tripwire.com/<br />
Der Aufzug in freien Fall gehört zweifelsohne<br />
in die Welt der Hollywood-<br />
Filme, aber ein digitalisierter Aufzug<br />
ist so smart wie angreifbar. Und schon<br />
vor mehreren Jahren spielte das Magazin<br />
Wired.com durch, wie man mittels<br />
Klimaanlage ein Stromnetz hackt.<br />
Cybersicherheit für industrielle Steuerungsnetze<br />
ist aus vielen Gründen<br />
eine Herausforderung für sich. Ungeklärte<br />
oder überlappende Verantwortlichkeiten,<br />
technische Probleme, mangelnde<br />
Erfahrung auf Seiten der Anlagenbetreiber<br />
und der Sicherheitsexperten<br />
im Unternehmen, um nur einige<br />
zu nennen.<br />
Kritische Infrastrukturen<br />
Die meisten Steuerungssysteme eines<br />
Unternehmens sind, was ihre Rolle für<br />
die betriebliche Verfügbarkeit und den<br />
geschäftlichen Erfolg anbelangt, tatsächlich<br />
kritische Infrastrukturen. Dazu<br />
zählen Systeme wie eine Rechenzentrums-Klimaanlage,<br />
Brandmeldeanlagen,<br />
Aufzüge und Schließanlagen<br />
und selbst die Kühlschranksteuerung<br />
oder die vernetzte Kaffeemaschine.<br />
Üblicherweise liegen diese Anlagen<br />
und Systeme außerhalb des Einflussbereichs<br />
eines Cybersicherheitsbeauftragten.<br />
Oft genug weiß er nicht einmal,<br />
welche Systeme im Netz hängen.<br />
Die Folge: Das mögliche Angriffs risiko<br />
für eine Rechenzentrums-Klimaanlage<br />
wird erst gar nicht ins Kalkül gezogen,<br />
Die Risiken sind real<br />
Schon beim erfolgreichen Hack<br />
der Einzelhandelskette Target verschafften<br />
sich die Angreifer Zugang<br />
zu einem HLK-System. Von dort aus<br />
arbeiteten sie sich bis in die Finanzsysteme<br />
der Kette vor und zogen von<br />
dort über 40 Millionen Kreditkartendaten<br />
ab. Vor nicht einmal zweieinhalb<br />
Monaten erschütterte Ripple20<br />
das IoT. Die zum Teil als kritisch eingestuften<br />
Sicherheitslücken wurden<br />
in einer TCP/IP-Implementierung aufgedeckt.<br />
Der TCP/IP-Stack verarbeitet<br />
als erste Instanz sämtliche Netzwerkdaten.<br />
Kommt es an dieser verwundbaren<br />
Stelle zu Programmierfehlern,<br />
führen diese oft zu schwerwiegenden<br />
Sicherheitslücken. Ripple20<br />
gefährdet vernetzte Steckdosen, medizinische<br />
Geräte, aber auch die Sensoren<br />
industrieller Steuerungssysteme.<br />
Die Forscher der israelischen<br />
Sicherheitsfirma JSOF fanden gleich<br />
19 Sicherheitslücken, zusammengefasst<br />
als „Ripple20“. Mittels Ripple20<br />
sind Angreifer beispielsweise in der<br />
Lage, eigenen Code einschleusen<br />
und auszuführen (Remote Code Execution)<br />
oder kritische Daten auszulesen.<br />
Unsichere Industrieprotokolle<br />
22 Haus und Elektronik 1/<strong>2021</strong>